蜜罐检测:如何在蜜罐上实现TCP/IP？

Question

我目前正在研究如何做蜜罐检测，并想知道是否有可能的线索是分析蜜罐如何实现他们的TCP/IP协议。

我一直在寻找一些蜜罐(例如Kippo)的源代码，但是还没有找到它们实现这个协议的地方。我不确定蜜罐是否让操作系统运行TCP/IP，或者我找错地方了。

如有任何建议，敬请见谅。谢谢!

Answer 1

关于蜜糖的评论让我找到了这篇论文：

https://www.merit.edu/wp-content/uploads/2018/01/Honeyd_Detection.pdf

包含以下背景信息：

为了避免基于正在运行的主机操作系统进行指纹和识别，Honeyd软件直接与网络交互。因此，它负责执行自己的分组片段重组，而不依赖于主机操作系统的数据包片段操作。

因此，听起来这个特定的蜜罐确实有自己的TCP/IP实现，使它能够模仿具有不同漏洞的不同操作系统。

使其成为可能的操作系统特性是“原始套接字”，这是一种特权API，允许您在第二层发送和接收数据包，绕过IP和TCP的内核实现。

Answer 2

如何在蜜罐上实现TCP/IP？

像Kippo这样的蜜罐使用主机操作系统的TCP/IP堆栈，就像正常的SSH服务器一样。您将无法在网络级别上区分它们。